Uw website beveiligen tegen hackers, hoe?
Geschreven door Sandhjé Bouw dinsdag, 10 januari 2012 22:56
We kennen ze allemaal wel, de verhalen over hacks van bijvoorbeeld Sony, Diginotar, Byte ;) en andere grote en kleine bedrijven en instanties. De impact die deze hacks hebben op de betrokken bedrijven zijn enorm. De gevolgen kunnen variëren van het buit maken van gevoelige klantgegevens, tot het verlies van vertrouwen van klanten in uw website. In deze serie blogs zullen we een aantal populaire hack methoden bespreken en welke technieken developers moeten gebruiken om deze te voorkomen. Allereerst drie veelgestelde vragen over website beveiliging.
Veelgestelde vragen over website beveiliging en hackers
Is eens beveiligd altijd beveiligd?
Velen denken dat wanneer hun website is opgeleverd door de bouwer en deze goed beveiligd is ze zich hier geen zorgen meer over hoeven te maken. Niets is echter minder waar. Hackers ontwikkelen constant nieuwe technieken om in te breken in uw site of deze te 'defacen', met andere woorden uw site te verwijderen en een eigen pagina daarvoor in de plaats te zetten.
Zoals het voor iedereen duidelijk is dat het installeren van een virusscanner op een PC zonder deze scanner regelmatig van updates te voorzien nutteloos zou zijn, is het ook duidelijk dat het beveiligen van uw website zonder deze beveiliging regelmatig up to date te houden geen nut heeft.
Wat kunt u doen om uw website up to date te houden? Een service contract bij uw ontwikkelaar biedt vaak een goede oplossing. Zorg ervoor dat in zo'n service contract wordt opgenomen dat uw CMS altijd up to date wordt gehouden, en dat er regelmatig beveiligingsscans op uw site worden gedraaid om lekken op te sporen voordat iemand anders dat doet.
Wie of wat zijn hackers?
Er zijn veel verschillende soorten hackers. De meest 'gevaarlijke' hackers zijn natuurlijk de 'professionals' die werken voor criminele organisaties. Deze hackers zijn vaak uit op de gegevens van de bezoekers van uw website, zoals creditcard informatie of persoonlijke informatie om later te gebruiken bij identiteits fraude. In sommige gevallen kunnen deze hackers ook voor overheden werken, maar daar zal de gemiddelde website niet zo vlug last van hebben.
Een tweede groep hackers zijn te vergelijken met activisten. Om een bepaald idealistisch doel te bereiken of een bepaalde politieke danwel maatschappelijke boodschap over te brengen hacken zij websites van mensen of organisaties die het niet met hun visie eens zijn. Een bekend voorbeeld hiervan is de aanval van hackersgroep 'anonymous' op PayPal, Mastercard en Visa nadat deze Wikileaks hadden geboycot. (Hiermee willen we overigens niet beweren dat 'anonymous' een groep activisten is, maar deze aanval werd wel vanuit een idealistisch oogpunt gedaan.)
De derde en grootste groep hackers zijn de zogenaamde 'scriptkiddies'. Dit zijn personen die relatief weinig ervaring hebben met hacken en 'gewoon wat aan het rotzooien zijn', vaak enkel en alleen uit pure vernielzucht. Als we de eerste groep hackers met wapenhandelaars en drugsdealers vergelijken dan is deze groep te vergelijken met baldadige jeugd die bushokjes vernield. Als uw site wordt aangevallen door een hacker zal dat in de meeste gevallen door iemand uit deze 'categorie' hackers gebeuren. Meestal zijn deze hackers uit op het 'defacen' van uw website, puur om te laten zien 'wat ze kunnen'.
Hackers zijn toch niet geïnteresseerd in mijn site?
Mocht u een 'gewone' website hebben met wat bedrijfsinformatie en dergelijke, dan zullen de meeste professionele hackers inderdaad niet snel geinteresseerd zijn in uw website. De derde groep hackers, zullen echter niet uw site hacken met als doel gegevens te stelen o.i.d. maar puur voor de 'lol'. Eigenlijk is dus geen enkele website veilig voor deze groep hackers. En vergis u niet, ook deze 'categorie' hackers zijn zeer goed in staat om in complexe en goed beveilgde systemen in te breken.
Heeft u een webshop of worden op een onderdeel van uw site gegevens van gebruikers opgeslagen, zoals in een 'client portal', forum of iets dergelijks dan loopt u wel degelijk de kans aangevallen te worden door de meer 'professionele' hackers. Hetzelfde geldt als u een politieke of ideologische opvatting uitdraagt middels uw site.
Het klopt dus dat sommige sites een groter risico lopen om aangevallen te worden door hackers dan andere. Maar het klopt niet dat er sites zijn waar geen enkele hacker in geinteresseerd is.
Welke hack methoden komen aan bod?
Hieronder een kort overzicht van de onderwerpen die we de komende weken zullen behandelen.
- Best practices
- Website beveiliging
- Database beveiliging
- Session beveiliging
- Filesystem beveiliging
Het moge duidelijk zijn dat we slechts een greep uit de vele hack methoden zullen behandelen in deze serie blogs. Bent u (als niet-VisionEars-klant) benieuwd of uw website gevaar loopt. Mail ons dan op Dit e-mailadres is beschermd tegen spambots. U heeft Javascript nodig om het te kunnen zien. . Wij scannen uw site gratis voor u op de meest voorkomende beveiligings lekken, en helpen u eventuele geconstateerde problemen op te lossen.
